Más de 9.000 routers ASUS han sido afectados por una campaña de intrusión altamente sofisticada. Según el informe de la firma de ciberseguridad GreyNoise, el ataque no instala un virus típico ni se elimina al reiniciar el dispositivo. En su lugar, abre una puerta trasera persistente, lo que permite a los atacantes tener acceso remoto a los routers sin ser detectados fácilmente.
Los modelos implicados incluyen el ASUS RT-AC3100, RT-AC3200 y RT-AX55, aunque no se descarta que haya más dispositivos comprometidos. El acceso inicial se logra con técnicas de fuerza bruta y se mantiene gracias a la explotación de la vulnerabilidad CVE-2023-39780, incluso tras actualizar el firmware.
Así funciona el ataque (y por qué deberías preocuparte)
Lo más preocupante es la persistencia del acceso: los atacantes habilitan SSH en un puerto específico (TCP/53282) y almacenan una clave pública en la memoria NVRAM, que no se borra con un simple reinicio. Esto significa que, aunque actualices tu router, los ciberdelincuentes podrían seguir dentro.
El objetivo no parece ser espiar directamente al usuario, sino preparar una botnet a gran escala, útil para ataques DDoS. La campaña lleva el sello de los APT (Amenazas Persistentes Avanzadas), grupos conocidos por sus recursos técnicos y vínculos con intereses estratégicos.
GreyNoise recomienda verificar manualmente si SSH está activo, revisar las claves autorizadas y, si se detecta actividad sospechosa, restablecer el router de fábrica y reconfigurarlo desde cero.
Puedes seguir a HardwarePremium en Facebook, Twitter (X), Instagram, Threads, BlueSky o Youtube. También puedes consultar nuestro canal de Telegram para estar al día con las últimas noticias de tecnología.
